Microsoft Defender for Cloud の基本セキュリティ機能と強化されたセキュリティ機能

Defender for Cloud は、組織を脅威や攻撃から守るのに役立つ強化されたさまざまなセキュリティ機能を提供します。

  • 基本セキュリティ機能 (無料) - Azure portal で Defender for Cloud を初めて開く場合、または API を使用してこれを有効にした場合、Defender for Cloud はすべての Azure サブスクリプションで無料で有効になります。 Defender for Cloud には、Azure リソースの保護に役立つセキュリティ スコアセキュリティ ポリシーと基本的な推奨事項ネットワーク セキュリティ評価が既定で用意されています。

    強化されたセキュリティ機能を試す場合、強化されたセキュリティ機能を有効にします。最初の 30 日間は無料です。 30 日経過した時点で、このサービスの利用を継続することを選択した場合、使用量に応じた課金が自動的に開始されます。 現地通貨またはリージョンの価格の詳細については、価格に関するページを参照してください。

  • 強化されたセキュリティ機能 (有料) - 強化されたセキュリティ機能を有効にすると、Defender for Cloud は、ハイブリッド クラウド ワークロード全体に対して、次のような統合されたセキュリティ管理と脅威保護を提供します。

    • Microsoft Defender for Endpoint - Microsoft Defender for servers には、包括的なエンドポイントの検出と応答 (EDR) のために、Microsoft Defender for Endpoint が含まれています。 Microsoft Defender for Endpoint を Defender for Cloud と共に使用する利点については、Defender for Cloud の統合された EDR ソリューションの使用に関するページを参照してください。

    • 仮想マシン、コンテナー レジストリ、SQL リソースの脆弱性評価 - 脆弱性評価ソリューションを簡単に有効にして、脆弱性を検出、管理、解決することができます。 結果の表示、調査、修復を Defender for Cloud 内から直接実行できます。

    • マルチクラウドのセキュリティ - アマゾン ウェブ サービス (AWS) と Google Cloud Platform (GCP) のアカウントを接続して、Microsoft Defender for Cloud のセキュリティフィーチャーの範囲で、それらのプラットフォームのリソースとワークロードを保護できます。

    • ハイブリッド セキュリティ - オンプレミスとクラウドのすべてのワークロードのセキュリティを、統合された 1 つのビューで確認できます。 セキュリティ ポリシーを適用し、ハイブリッド クラウドのワークロードのセキュリティを継続的に評価することで、セキュリティ標準に確実に準拠できます。 ファイアウォールやその他のパートナー ソリューションなどのさまざまなソースから、セキュリティ データを収集、検索、分析します。

    • 脅威防止アラート - 高度な行動分析と Microsoft インテリジェント セキュリティ グラフを使用して、巧妙化するサイバー攻撃に対応します。 組み込みの行動分析と機械学習により、各種攻撃やゼロデイ攻撃を特定することができます。 ネットワーク、マシン、データ ストア (azure の内部と外部でホストされている SQL サーバー、Azure SQL データベース、Azure SQL Managed Instance、Azure Storage)、クラウドサービスを監視して、着信攻撃や侵害後のアクティビティを確認します。 対話型のツールと状況に応じた脅威インテリジェンスにより、調査を効率化します。

    • さまざまな標準の遵守の追跡 - Defender for Cloud は、ご使用のハイブリッド クラウド環境を継続的に評価して、Microsoft クラウド セキュリティ ベンチマークの制御とベスト プラクティスに従ってリスク要因を分析します。 強化されたセキュリティ機能を有効にすると、ご自分の組織のニーズに応じて、他の業界標準、規制標準、ベンチマークを広範に適用できます。 規制コンプライアンス ダッシュボードから、標準を追加したり、コンプライアンスを追跡したりすることができます。

    • アクセスとアプリケーションの制御 - 特定のワークロードに適合した、機械学習による推奨事項を適用して許可リストとブロックリストを作成することで、マルウェアや他の望ましくないアプリケーションをブロックします。 Azure VM の管理ポートに対するジャスト イン タイムの制御されたアクセスで、ネットワーク攻撃対象領域を減らします。 アクセスとアプリケーションの制御によって、ブルート フォース攻撃やその他のネットワーク攻撃にさらされる可能性が大幅に低くなります。

    • コンテナーのセキュリティ機能 - コンテナー化された環境で、脆弱性管理とリアルタイムの脅威の防止が利用できます。 料金は、接続されたレジストリにプッシュされた一意のコンテナー イメージの数に基づいています。 イメージのスキャンが 1 回完了すると、変更されてもう 1 度プッシュされない限り、再度課金されることはありません。

    • Azure に接続されているリソースの広範な脅威保護 - すべてのリソースに共通する Azure サービス (Azure Resource Manager、Azure DNS、Azure ネットワーク レイヤー、Azure Key Vault) のための Cloud ネイティブの脅威保護。 Defender for Cloud では、Azure 管理レイヤーと Azure DNS レイヤーを独自の視点で可視化できるため、これらのレイヤーに接続されているクラウド リソースを保護できます。

    • クラウド セキュリティ態勢管理 (CSPM) の管理 - CSPM は、提供されているツールを通してセキュリティ問題を修復し、セキュリティ態勢を確認する能力をユーザーに提供します。 これには以下のツールが含まれます。

      • セキュリティ ガバナンスと規制コンプライアンス
      • クラウド セキュリティ グラフ
      • 攻撃パス分析
      • マシンのエージェントレス スキャン

      CSPM の詳細情報。

FAQ - 価格と課金

Defender for Cloud の Microsoft Defender プランを有効にした組織内のユーザーをどのような方法で追跡できますか?

Azure サブスクリプションには、価格設定を変更する許可が与えられた管理者が複数設定されていることがあります。 変更を行ったユーザーを見つけるには、Azure アクティビティ ログを使用します。

価格変更イベントを示す Azure アクティビティ ログ。

[イベント開始者] 列の一覧にユーザーの情報が表示されない場合は、イベントの JSON から適切な情報を探してください。

Azure アクティビティ ログの JSON エクスプローラー。

Defender for Cloud では、どのようなプランが提供されていますか?

Microsoft Defender for Cloud の無料プランでは、セキュリティ スコアと関連ツールが提供されます。 強化されたセキュリティを有効にすると、すべての Microsoft Defender プランが有効になり、Azure、ハイブリッド、マルチクラウド環境のすべてのリソースに対してさまざまなセキュリティ上のベネフィットが得られます。

自分のサブスクリプションで Defender for Cloud の強化されたセキュリティを有効にするにはどのようにしますか?

以下に示すどの方法でも、ご利用のサブスクリプションに対して強化されたセキュリティを有効にすることができます。

メソッド 手順
Azure portal 内の Defender for Cloud のページ 強化された保護を有効にする
REST API Pricings API
Azure CLI az security pricing
PowerShell Set-AzSecurityPricing
Azure Policy バンドルの価格

サーバーのサブセットに対して Microsoft Defender for Servers を有効にすることはできますか?

いいえ。 Azure サブスクリプションまたは接続されている AWS アカウントで Microsoft Defender for Servers を有効にすると、接続されているすべてのマシンが Defender for Servers によって保護されます。

もう 1 つの方法は、Log Analytics ワークスペース レベルで Microsoft Defender for Servers を有効にすることです。 この場合、そのワークスペースにレポートするサーバーだけが保護され、課金されるようになります。 ただし、いくつかの機能が利用できなくなります。 利用できなくなる機能には、エンドポイントの Microsoft Defender、VA ソリューション (TVM/Qualys)、ジャスト イン タイム VM アクセスなどが含まれます。

Microsoft Defender for Endpoint のライセンスが既にある場合、Defender for Servers の割引を受けることはできますか?

Microsoft Defender for Endpoint for Servers Plan 2 のライセンスを既にお持ちの場合は、Microsoft Defender for Servers のライセンスのその部分について料金を払う必要はありません。 詳細については、こちらのライセンスを参照してください。

割引を要求するには、Defender for Cloud のサポート チームにお問い合わせください。 関連するワークスペースの ID、リージョン、およびそのワークスペースのマシンに対して申請した Microsoft Defender for Endpoint for servers ライセンスの数をお伝えください。

割引は承認日から適用されます。期間をさかのぼっては適用されません。

自分のサブスクリプションで Microsoft Defender for Servers が有効になっています。どのマシンに課金されますか?

サブスクリプションで Microsoft Defender for Servers を有効にすると、次の表に示すように、そのサブスクリプション内のすべてのマシン (PaaS サービスの一部で、このサブスクリプションに存在するマシンを含む) が、その電源の状態に従って課金されます。

State 説明 課金されたインスタンスの使用
開始中 VM を起動中です。 課金されません
実行中 VM の通常の動作状態です 課金されます
停止中 この状態は過渡的な状態です。 完了すると、Stopped と表示されます。 課金されます
停止済み ゲスト OS 内から、または PowerOff API によって、VM がシャットダウンされています。 ハードウェアは引き続き VM に割り当てられ、VM はホスト上に残ります。 課金されます
割り当て解除中 この状態は過渡的な状態です。 完了すると、VM は割り当て解除済みと表示されます。 課金されません
割り当て解除済み VM は正常に停止され、ホストから削除されました。 課金されません

割り当て解除状態のマシンを示す Azure Virtual Machines。

サブスクリプション レベルで Defender for Cloud サーバー プランを有効にした場合、ワークスペース レベルで有効にする必要がありますか?

サブスクリプション レベルで Servers プランを有効にすると、Defender for Cloud が既定のワークスペースで Servers プランを自動的に有効にします。 [Azure VM を Defender for Cloud で作成された既定のワークスペースに接続する] オプションを選択し、[適用] を選択することによって、既定のワークスペースに接続します。

ワークスペースを管理するために Defender for Cloud を自動プロビジョニングする方法を示すスクリーンショット。

ただし、既定のワークスペースの代わりにカスタム ワークスペースを使用する場合、サーバー プランが有効になっていないすべてのカスタム ワークスペースでサーバー プランを有効にする必要があります。

カスタム ワークスペースを使用していて、サブスクリプション レベルでのみプランを有効にしている場合は、Microsoft Defender for servers should be enabled on workspacesおすすめ ページにレコメンデーションが表示されます。 このレコメンデーションでは、[修正] ボタンを使用して、ワークスペース レベルでサーバー プランを有効にするオプションを提供します。 サーバー プランがワークスペースに対して有効になっていない場合でも、サブスクリプション内のすべての VM が課金の対象となります。 VM では、Microsoft Defender for Endpoint、VA ソリューション (TVM/Qualys)、Just-In-Time VM アクセスなど、Log Analytics ワークスペースに依存する機能は活用されません。

サブスクリプションとその接続されたワークスペースの両方でサーバー プランを有効にしても、2 倍の料金は発生しません。 システムは、各一意の VM を識別します。

クロス サブスクリプションのワークスペースでサーバー プランを有効にした場合、サーバー プランが有効になっていないサブスクリプションを含む、すべてのサブスクリプションの接続済み VM が課金の対象となります。

Log Analytics エージェントがインストールされていないマシンは課金されますか?

はい。 Azure サブスクリプションまたは接続されている AWS アカウントで Microsoft Defender for Servers を有効にすると、Azure サブスクリプションまたは AWS アカウントに接続されているすべてのマシンに対して課金されます。 マシンという用語には、Azure 仮想マシン、Azure 仮想マシン スケール セット インスタンス、および Azure Arc 対応サーバーが含まれます。 Log Analytics がインストールされていないマシンには、Log Analytics エージェントに依存しない保護が適用されます。

Log Analytics エージェントが複数のワークスペースにレポートする場合、二重に課金されるのですか?

マシンから複数のワークスペースに報告があり、そのすべてで Defender for Servers が有効な場合、接続されているワークスペースごとにマシンが課金されます。

Log Analytics エージェントが複数のワークスペースにレポートする場合、それらすべてで 500 MB 無料のデータ インジェストが利用できるのですか?

はい。 2 つ以上の異なる Log Analytics ワークスペース (マルチホーム) にデータを送信するように Log Analytics エージェントを構成した場合、ワークスペースごとに 500 MB のデータ インジェストが無料で提供されます。 これはノード単位、レポート先ワークスペース単位、日単位で計算され、"セキュリティ" または "マルウェア対策" ソリューションがインストールされているどのワークスペースでも利用できます。 500 MB の制限を超えて取り込まれたデータについては課金の対象となります。

500 MB 無料のデータ インジェストの計算対象は、ワークスペース全体ですか、それとも厳密にマシン単位ですか?

ワークスペースに接続されている VM ごとに、1 日あたり 500 MB のデータ インジェストが無料で提供されます。 具体的には、Defender for Cloud によって直接収集されたセキュリティ データ型が対象となります。

このデータは、1 日あたりのレートを全ノードにわたって平均したものです。 1 日の空き容量の合計制限は [マシンの数] x 500 MB です。 したがって 100 MB を送信するマシンの他に 800 MB を送信するマシンがあったとしても、その合計が、1 日の無料の上限を超えなければ、余分に課金されることはありません。

500 MB のデータの 1 日あたりの許容量には、、どの種類のデータが含まれますか?

Defender for Cloud の課金は、Log Analytics の課金と密接に関連しています。 Microsoft Defender for Servers では、セキュリティ データ型の以下のサブセットに対して、マシンで 1 日当たり 500 MB/ノードの割り当てが提供されます:

ワークスペースが従来のノードごとの価格レベルである場合、Defender for Cloud と Log Analytics の割り当てが結合されて、取り込まれたすべての課金対象データにまとめて適用されます。

毎日の使用状況を監視する方法

データの使用状況は、Azure portal、またはスクリプトを実行して、2 つの異なる方法で表示できます。

Azure portal で回線使用量を確認します:

  1. Azure portal にサインインします。

  2. Log Analytics ワークスペースに移動する

  3. ワークスペースを選択します。

  4. 使用量と推定コストの選択。

    Log Analytics ワークスペースのデータ使用量のスクリーンショット。

また、価格レベルごとに選択することで、さまざまな価格レベルで推定コストを 表示することもできます。

追加の価格レベルでの推定コストを表示する方法を示すスクリーンショット。

スクリプトを使用して使用状況を表示するには:

  1. Azure portal にサインインします。

  2. Log Analytics ワークスペース>に移動するLogs

  3. 時間の範囲を選択してください 時間範囲について説明します。

  4. 次のクエリをコピーして、[ ここにクエリを入力する] セクションに貼り付ける。

    let Unit= 'GB';
    Usage
    | where IsBillable == 'TRUE'
    | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
    | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
    | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
    | sort by DataConsumedPerDataType desc
    
  5. [実行] を選択します。

    クエリを入力する場所と、選択する [実行] ボタンの場所を示すスクリーンショット。

Log Analytics ワークスペースで使用状況を分析する方法について説明します。

使用量に基づいて、1 日の手当を使用するまでは課金されません。 課金される場合、500MB が消費された後に使用されたデータのみ、または Defender for Cloud のカバレッジに該当しないその他のサービスのみ課金の対象となります。

次のステップ

この記事では、Defender for Cloud の価格オプションについて説明しました。 関連資料については、以下を参照してください。

重要

Log Analytics エージェントが Azure Monitor エージェントに置き換えられ、Azure Monitor のソリューションが Insights に置き換えられたため、ソリューションのターゲット設定は非推奨になりました。 ソリューション ターゲット設定を既に構成済みである場合は、それを引き続き使用できますが、新しいリージョンで使用することはできません。 この機能は、2024 年 8 月 31 日より後は、サポートされなくなる予定です。 非推奨日までソリューション ターゲット設定をサポートするリージョンは次のとおりです。

リージョン コード リージョン名
CCAN canadacentral
CHN switzerlandnorth
CID centralindia
CQ brazilsouth
CUS centralus
DEWC germanywestcentral
DXB UAENorth
EA eastasia
EAU australiaeast
EJP japaneast
EUS eastus
EUS2 eastus2
NCUS northcentralus
NEU NorthEurope
NOE norwayeast
PAR FranceCentral
SCUS southcentralus
SE KoreaCentral
SEA southeastasia
SEAU australiasoutheast
SUK uksouth
WCUS westcentralus
WEU westeurope
WUS westus
WUS2 westus2
エアギャップ クラウド リージョン コード リージョン名
UsNat EXE usnateast
UsNat EXW usnatwest
UsGov FF usgovvirginia
中国 MC ChinaEast2
UsGov PHX usgovarizona
UsSec RXE usseceast
UsSec RXW ussecwest